Ajax Control Toolkit Editor Control - XSS 攻撃の回避

Question

で気づきました これ Microsoft はクロスサイト スクリプティング攻撃の危険性があるため、Ajax Control Toolkit の Editor コントロールを公共サイトで使用することを推奨していないとの記事。試してみたところ、特に NoScript="true" と設定してもスクリプトを追加できるため、XSS 攻撃の脆弱性が導入される可能性があります。私の状況では、奨学金の申請プロセスに取り組んでおり、すべての候補者がオンラインでエッセイを入力できるようにこれを使用したいと考えていました。私たちはデータを取得して審査委員会に再表示したかったのですが、明らかにこれは悪い考えです。

そこで、コードビハインドで使用できる CustomValidator または正規表現を使用して、スクリプトではなく HTML を許可するコンテンツを検証する簡単な方法を誰かが知っているかどうか疑問に思っています。ブラックリスト検証ではなくホワイトリスト検証を行う方が良いことはわかっています。特にそれを探しています。

あるいは、XSS 攻撃から保護する同様の制御を知っている人がいれば、それも良いでしょう。

Answer 1

AntiXSS ライブラリの最新リリースでは、HTML サニタイズが行われるようになりました。これにより、希望どおりのことができると思います。見て 吹き矢さんのブログに載っています ここ.

2015 年 9 月 15 日更新:
AntiXSS が導入されました .Net 4.0 フレームワーク, 、それを有効にします .config ファイル。